Boas práticas para comunicação móvel

Por Marcelo Tavares de Santana(*)

Não faz um mês que a Cybersecurity and Infrastructure Security Agency (CISA), agência do Governo do EUA, publicou um guia de boas práticas para comunicação móvel recomendando aplicativos com criptografia de ponta a ponta, chamando a atenção da imprensa. Mesmo sendo uma iniciativa importante e necessária vale notar que outra agência do mesmo governo teve revelado um esquema de vigilância global que seria objeto de desejo dos piores ditadores da história, e que o motivo da recomendação pode ter variáveis protecionistas ou xenofóbicas; pelo menos até darem informações precisas sobre os atacantes. Embora essa iniciativa esteja mais de 20 anos atrasada em relação a defesa do direito à criptografia pelos técnicos ativistas, e a motivação seja diferente, ela pode levar a uma maior consciência e boas práticas de segurança pelas pessoas, além de colocar o bem-estar social acima de esquemas de vigilância. A seguir veremos alguns itens do guia, destacados em negrito, que de modo geral vale como uma lista de checagem de segurança digital para o início desse novo ano de 2025.

Use apenas comunicações criptografadas de ponta a ponta: a grande diferença para outras recomendações até o momento, e que pode ter chamado atenção da imprensa, é o uso do termo “apenas”, que enfatiza a criptografia ponta a ponta como uma prática constante; no guia o aplicativo Signal é destacado como exemplo desse tipo de comunicação (magicamente a imprensa colocou o WhatsApp como exemplo, apesar de não estar no documento original);

Use um gerenciador de senhas: o guia indiretamente, e corretamente, ressalta que as senhas precisam ser longas, aleatórias e únicas (uma senha diferente para cada acesso), e que devemos guardar num gerenciador de senhas com uma ‘frase senha’ forte – recomendável que seja a partir de quatro palavras de contextos distintos;

Defina números PIN de telecomunicações: no Brasil as operadoras de telefonia podem ter PINs (senhas numéricas) para acesso a serviços onde no passado usavam erroneamente o mesmo número para todos os novos serviços e usuários (hoje a lei brasileira obriga a pré configurarem números aleatórios) – não está no guia, mas o melhor é não depender desses PINs e até cancelar serviços que dependam deles, por exemplo, cancelar o serviço de caixa postal de voz e assim reduzir um ponto de falha de segurança na comunicação;

Evite ao máximo autenticação multifatorial que use SMS: mensagens de texto SMS não são criptografadas e isso facilita ataques de phishing (“pescaria” de senha) na interceptação de comunicação – sempre que possível desabilite SMS como fator adicional para autenticação de seus acessos de usuário;

Habilite [e use] Fast Identity Online (FIDO): FIDO é um conjunto de padrões de autenticação online por dispositivos confiáveis que usam criptografia na comunicação num tempo muito próximo de uma ação, por exemplo, quando tentamos usar um acesso num computador e precisamos confirmar no smartphone no mesmo minuto a tentativa de acesso – Github e Google usam esse tipo de confirmação de acesso em seus serviços;

Atualize os softwares regularmente: é uma recomendação importante mas irreal num mercado onde muitos fabricantes de dispositivos móveis oferecem poucas atualizações de software, praticamente forçando a compra de novos equipamentos para obtermos uma versão atualizada dos sistemas operacionais (SO) e outros aplicativos, gerando lixo eletrônico e riscos para quem não destrói seus dados corretamente dos equipamentos antigos (veja a matéria ‘Apagar não é seguro’);

Opte pela última versão de dispositivos dos fabricantes de smartphones: apesar do fato de que equipamentos antigos possam ter falhas de projeto que comprometem a segurança, os novos também podem ter falhas, como é o caso dos novos processadores Intel das famílias Raptor Lake e Raptor Lake Refresh com falhas conhecidas de desempenho (não de segurança, por enquanto) que felizmente não afetam a grande maioria dos usuários, ou seja, é possível comprar um equipamento mais novo e menos seguro – nesse caso seria melhor, contrariando os interesses do mercado da propriedade intelectual, estimular a aquisição de equipamentos de arquiteturas abertas como o RISC-V; talvez daqui 30 anos isso seja uma recomendação;

Não use VPNs pessoais: é uma recomendação esquisita, pois seria melhor recomendar o uso de criptografia com VPNs, ou seja, ensinar as pessoas a sempre acessar endereços Web com comunicação segura (HTTPS) e trocar mensagens com criptografia ponta a ponta; fica ainda mais estranho quando citam que VPNs das empresas que trabalhamos (que podem ser inseguras) é um caso diferente.

Além dessas recomendações, há outras que são específicas para equipamentos Android e iPhone (apesar dos iPads usarem o mesmo SO, não foram incluídos). A lista abaixo é uma mais generalista para smartphones e tablets que usam esses SOs:

• desabilite o envio de mensagens de texto SMS quando possível;
• restrinja permissões de aplicativos ao mínimo possível, por exemplo, se não vai marcar localização nas fotos, o aplicativo de fotografia não precisa de permissão para GPS;
• ative a navegação segura nos aplicativos de navegação Web;
• procure instalar aplicativos a partir de lojas de comunidades ou empresas ativas, por exemplo, o F-Droid para dispositivos Android;
• configure algum DNS bem conhecido como o 1.1.1.1 da Cloudfare ou 8.8.8.8 do Google, toda vez que nossos dispositivos se conectam a uma rede WiFi ou celular, ele usa a configuração do provedor de acesso que pode nos direcionar para um DNS malicioso, e deixar o DNS fixo em algo conhecido pode reduzir esse risco.

Apesar das ressalvas, que podem ser percebidas neste texto, é importante que existam padrões de segurança que venham de órgãos governamentais e de organizações de normas, como ISO ou ABNT, sempre levando a sociedade a práticas mais seguras. Naturalmente, práticas de segurança automatizadas ou embutidas nos equipamentos e aplicativos facilitam a vida do usuário, mas esse deve saber o quê está ou não em conformidade com essas práticas, não só porque tem um selo de qualidade mas também porque sabe avaliar o quê é essa qualidade, graças a disseminação do conhecimento sobre o assunto. No Brasil, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantém Cartilha de Segurança para Internet com vários assuntos (nos Fascículos); o Guia Internet Segura – 2ª Edição, é uma leitura interessante para fazer junto a crianças e contém atividades para aprender segurança jogando.

Que todos tenham um ótimo ano, cada vez mais seguro! Continuemos estudando.

Feliz 2025!